Par Christian Have, CTO, LogPoint
Lorsque vient le temps de faire des prévisions pour l’année à venir, nous essayons souvent d’identifier l’évènement majeur qui va tout changer. Ne faisons pas durer le suspense, en fait nous ne voyons aucun changement majeur dans le secteur de la cybersécurité. Au lieu d’importants bouleversements, nous prévoyons plutôt un changement dans la manière avec laquelle les entreprises vont appréhender leurs défis en matière de cybersécurité et comment elles vont s’y prendre pour les relever. Ce changement va déboucher sur une approche plus holistique des opérations de sécurité et il a été long à venir.
Voici 5 tendances auxquelles nous pouvons nous attendre :
Adoption accélérée des plateformes de consolidation et d’intégration de la cybersécurité
L’année 2022 verra s’accélérer la transition qui va permettre de passer de déploiements ponctuels de premier ordre vers l’adoption d’infrastructures de cybersécurité unifiées et consolidées, en particulier pour les entreprises de taille intermédiaire.
En mettant de côté les entreprises faisant partie du classement Fortune 500, il existe des milliers d’entreprises à un niveau inférieur qui manquent de ressources et de maturité en matière de cybersécurité. Elles peinent constamment à justifier leur budget de cybersécurité et à observer des améliorations significatives en termes d’efficacité ou de réduction des risques grâce à leurs investissements. Ce cycle se reproduit car même si les RSSI/CISO peuvent acheter les meilleurs outils du secteur, ils n’ont souvent pas l’expertise pour exploiter de manière optimale les fonctionnalités hautement sophistiqué d’un produit. En effet, le budget ou le temps ne sont jamais suffisants pour intégrer les capacités offertes par leurs nombreux outils et s’assurer qu’ils pourront en tirer la valeur attendue. Pour de nombreuses entreprises, la meilleure solution n’a pas été la solution gagnante et elles rechercheront une approche plus consolidée et unifiée soit auprès d’un éditeur unique, soit en s’appuyant sur des normes ouvertes pour obtenir un résultat unifié.
Véritable bond en avant en matière d’automatisation de la cybersécurité
L’automatisation basée sur l’IA en matière de détection et de réponse aux menaces permettra aux RSSI/CISO de remplacer le comportement et les actions humains par des capacités pouvant aller bien au-delà de ce qu’ils pensaient possible. L’automatisation est un voyage. De nombreux obstacles doivent être surmontés avant qu’un seul processus ne puisse être automatisé, et encore plus lorsqu’il s’agit de plusieurs processus interdépendants. Les technologies basées sur l’intelligence artificielle (IA) et l’automatisation des processus robotiques (RPA : Robotic Process Automation) ont mûri, permettant ainsi à de nombreux secteurs d’en profiter, notamment celui de la cybersécurité.
En fait, l’IA et l’automatisation s’avéreront être le seul moyen de suivre le rythme et de contrer les méthodes des cybercriminels en constante évolution, ainsi que leur audace et le volume croissant d’attaques. Comme nous le savons, un véritable « saut quantique » peut s’avérer assez modeste, mais il a un effet considérable. C’est justement ce type d’effet qu’aura l’automatisation pilotée par l’IA sur les opérations de cybersécurité.
Les playbooks de réponse : l’approche Statique remplacée par un modèle Dynamique
La maturité des technologies d’IA et d’automatisation incitera les entreprises de taille moyenne et les MSSP qui s’occupent de nombre d’entre elles à accélérer leurs plans d’automatisation du SOC. Avec la combinaison de l’IA et de la RPA, nous verrons la mort des playbooks de sécurité classiques. Les playbooks utilisés aujourd’hui sont statiques. Ils nécessitent un haut degré de sophistication et d’expertise de la part de l’analyste qui doit prendre en compte tous les scénarios d’attaque possibles (même ceux concernant les attaques inconnues), la manière avec laquelle nous avons réagi par le passé et comment nous voulons répondre à l’avenir. Ce processus prend beaucoup trop de temps et il est pratiquement impossible de maintenir les playbooks à jour.
Avec une détection et une réponse pilotées par l’IA ou même augmentées par l’IA, le playbook statique sera remplacé par un playbook dynamique et en temps réel, spécifique à l’incident qui menace, et ce à un moment bien précis.
Le système basé sur l’IA créera instantanément le meilleur playbook, sur la base de l’analyse des données de cas d’incident, de lectures de télémétrie, de l’historique de cas (et de la manière avec laquelle ils ont été résolus) et de renseignements sur les menaces (threat-intelligence) provenant d’Internet ainsi que d’autres sources. Vous pourrez alors exécuter la réponse automatiquement ou demander à l’analyste d’approuver les actions du playbook. La démarche sera aussi simple que cela.
La technologie SIEM dans une constellation holistique
L’avenir du SIEM est important pour les entreprises du monde entier. Le SIEM est là pour durer. Dans l’UE, une réglementation oblige les RSSI à conserver leur SIEM déployé localement, soit sur-site (on-prem), soit via un fournisseur Cloud basé dans l’UE, et à rechercher à se procurer une capacité XDR ou bien d’autres solutions de consolidation qui s’intègreront avec ce dernier. C’est la raison pour laquelle, lorsqu’une entreprise opère dans l’UE ou interagit avec des citoyens de l’UE, elle doit vérifier que chaque système contenant les données personnelles des citoyens dispose de mesures de protection de la vie privée conformes aux exigences européennes.
Tout récemment, une nouvelle règlementation de l’UE est sortie, stipulant que les données sur un citoyen européen doivent être couvertes par les lois de l’UE, quel que soit l’endroit où les données sont hébergées. Ce règlement empêchera les entreprises de sélectionner un SIEM basé dans le Cloud et hébergé en dehors de l’UE ou bien détenu par une entité hors UE. Cette nouvelle règlementation est presque aussi compliquée à expliquer qu’à respecter !
Les données piloteront tout
Une autre raison pour laquelle en 2022 les RSSI privilégieront les solutions de consolidation/unification telles que XDR, est que l’instrumentation unifiée permet une approche complète basée sur les données pour la stratégie et la mise en œuvre de la cybersécurité. Lorsque les mesures et les données de cybersécurité sont faciles à digérer et restent au-dessus de la mêlée technique, les RSSI peuvent s’engager dans d’autres projets concernant notamment les performances et les financements qui sont beaucoup plus productifs.
Le potentiel que nous voyons pour 2022 dépend des données. Des données précises. Des données complètes. Des données fiables. Des données en temps réel. Des historiques de données. Les entreprises ont besoin de tous ces éléments pour mettre en place une défense efficace contre les menaces externes et internes. Ils ont besoin d’une plateforme qui rassemblera toutes leurs données de cybersécurité, les vérifiera, leur fournira un contexte, les simplifiera et les priorisera en fonction de l’urgence, de l’expérience passée, des dommages potentiels, des dommages déjà subis et de nombreux autres facteurs. Elles ont besoin de données pour orchestrer les différents outils au niveau de leur infrastructure de cybersécurité, afin que chaque outil puisse jouer pleinement son rôle en offrant le maximum de ses capacités. Elles ont besoin de données pour automatiser. Si vous ne pouvez pas faire confiance à vos données, vous ne pouvez pas automatiser les processus qui les utilisent.
2022 sera l’année des solutions holistiques en matière de détection des menaces et de réponse aux incidents
Pour conclure, l’année prochaine sera l’année de la détection des menaces et de la réponse aux incidents holistiques qui s’accéléreront rapidement et se caractériseront par une consolidation des capacités basée sur l’IA, une instrumentation et une automatisation unifiées. L’approche holistique pourrait prendre la forme d’une plateforme XDR ou d’une solution développée en interne. L’avenir nous le dira.
De nombreuses entreprises de cybersécurité investissent dans l’automatisation. En effet, les éditeurs créent des plateformes d’automatisation pour optimiser un SOC de 30, 50 ou 100 personnes. Mais ces plateformes sophistiquées et complexes n’ont aucune valeur pour le RSSI d’une entreprise de taille intermédiaire. Ils sont hors de portée en termes de coût et de praticité.
C’est pourquoi nous voyons des milliers d’entreprises évoluer vers une approche consolidée et holistique, cessant ainsi de courir après les meilleurs outils du secteur qui offrent d’ailleurs souvent de nombreuses options, et en se concentrant plutôt sur l’utilisation de l’IA et de l’automatisation pour rendre leurs opérations de sécurité simples, efficaces, et bien plus productives qu’elles ne l’auraient imaginé.